Am 1. April darf man Witze machen — aber Bussgelder und Strafen für persönliche Daten in Cloud-KI sind kein Scherz. Samsung, Anwaltskanzleien, Kliniken — überall laden Mitarbeiter sensible Daten in ChatGPT. Die Konsequenzen: In der EU/EWR drohen Millionenbussgelder nach Art. 83 DSGVO, in der Schweiz strafrechtliche Sanktionen gegen Einzelpersonen mit Bussen bis CHF 250'000 (Art. 60–66 DSG). Incognify verhindert genau das.
Wichtiger Unterschied CH vs. EU/EWR: Die DSGVO (Art. 83) richtet sich mit Bussen bis EUR 20 Mio. oder 4 % des Jahresumsatzes gegen Unternehmen. Das Schweizer DSG (Art. 60–66) hingegen bedroht verantwortliche Einzelpersonen mit Bussen bis CHF 250'000. In Österreich gilt die DSGVO direkt, ergänzt durch das österreichische DSG (DSG AT) und die Zuständigkeit der Datenschutzbehörde (DSB).
Kein Witz: Echte Bussgelder und Strafen für persönliche Daten in Cloud-KI
Die Zahlen sprechen für sich: Allein 2024 und 2025 wurden europaweit Bussgelder in dreistelliger Millionenhöhe für Datenschutzverstösse im Zusammenhang mit KI-Diensten verhängt. Und das betrifft nicht nur Grosskonzerne — auch KMU geraten zunehmend ins Visier der Aufsichtsbehörden.
CHF 250'000
Max. Busse pro Person (DSG CH, Art. 60–66)
EUR 20 Mio.
Max. Bussgeld pro Unternehmen (DSGVO, Art. 83)
4 %
des Jahresumsatzes (DSGVO-Alternative)
In der Schweiz ist die Situation besonders brisant: Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat wiederholt klargestellt, dass die Nutzung von Cloud-KI-Diensten ohne angemessene Schutzmassnahmen gegen das DSG verstossen kann. Die persönliche Strafbarkeit nach Art. 60–66 DSG bedeutet, dass nicht das Unternehmen, sondern die verantwortliche Person zur Kasse gebeten wird.
In Deutschland und Österreich ermitteln die Landesdatenschutzbehörden bzw. die DSB immer häufiger gegen Unternehmen, die personenbezogene Daten ohne Rechtsgrundlage an Cloud-KI-Anbieter übermitteln. Art. 83 DSGVO sieht dafür Bussgelder in Millionenhöhe vor.
Fall 1: Samsung-Mitarbeiter laden Code mit persönlichen Daten in ChatGPT
Einer der bekanntesten Fälle: Im Frühjahr 2023 luden Samsung-Ingenieure vertraulichen Quellcode und interne Meeting-Protokolle in ChatGPT. Der Code enthielt persönliche Daten von Mitarbeitenden und Kunden — Namen, E-Mail-Adressen, interne Kennungen.
Die Folgen waren gravierend: Samsung verbot daraufhin die Nutzung von ChatGPT unternehmensweit. Doch das Verbot kam zu spät — die Daten waren bereits an die OpenAI-Server übermittelt worden und konnten nicht mehr zurückgeholt werden.
Was hier schiefging:
Rechtliche Einordnung: Ein solcher Fall hätte in der Schweiz strafrechtliche Konsequenzen nach Art. 60–66 DSG gegen die verantwortlichen Personen nach sich ziehen können — mit Bussen bis CHF 250'000 pro Verstoss. In Deutschland und Österreich drohen dem Unternehmen Bussgelder nach Art. 83 DSGVO: bis EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes.
Fall 2: Vertrauliche Patientendaten in Cloud-KI
Im Gesundheitswesen häufen sich die Fälle: Ärzte und Therapeuten nutzen ChatGPT, um Arztbriefe schneller zu formulieren oder Therapieberichte zusammenzufassen. Dabei gelangen regelmässig besonders schützenswerte Personendaten in die Cloud — Diagnosen, Medikationen, Patientennamen und sogar AHV-Nummern.
Besonders schützenswerte Personendaten geniessen nach Art. 5 lit. c DSG und Art. 9 DSGVO den höchsten Schutz. Ihre Bearbeitung ist grundsätzlich untersagt — mit sehr engen Ausnahmen. Der Upload in eine Cloud-KI gehört nicht zu diesen Ausnahmen.
Zusätzlich zum Datenschutzrecht droht im Gesundheitswesen die Verletzung des Berufsgeheimnisses: Art. 321 StGB (Schweiz) und § 203 StGB (Deutschland/Österreich) sehen Freiheitsstrafen bis zu drei Jahren vor. Eine Busse nach DSG oder DSGVO kommt dann noch obendrauf.
Was passiert, wenn persönliche Daten an ChatGPT gehen?
Sobald Sie einen Text mit persönlichen Daten an einen Cloud-KI-Dienst senden, geschieht Folgendes:
Datenübermittlung ins Ausland
Die Daten verlassen Ihren Rechtsraum und werden auf Servern verarbeitet, die häufig in den USA stehen. Nach Art. 16–18 DSG und Art. 44–49 DSGVO ist dies nur unter strengen Voraussetzungen zulässig.
Kontrollverlust über die Daten
Sie haben keine Garantie, dass die Daten gelöscht werden. Viele Anbieter behalten sich das Recht vor, eingegebene Daten für das Training ihrer Modelle zu verwenden.
Keine Rückholmöglichkeit
Einmal übermittelte Daten können nicht zurückgeholt werden. Ein «Recht auf Löschung» nach Art. 17 DSGVO oder Art. 32 DSG ist bei KI-Trainingsdaten praktisch nicht durchsetzbar.
Meldepflicht bei Datenpanne
Wird der Vorfall bekannt, greift die Meldepflicht: Art. 24 DSG (an den EDÖB) bzw. Art. 33 DSGVO (an die zuständige Aufsichtsbehörde) — innerhalb von 72 Stunden.
Die Lösung: Automatische Anonymisierung vor dem Upload
Der sicherste Weg, Cloud-KI datenschutzkonform zu nutzen, ist einfach: Persönliche Daten müssen vor dem Upload erkannt und entfernt werden — automatisch und zuverlässig. Genau das macht Incognify.
Incognify erkennt persönliche Daten in Texten und Dokumenten automatisch — Namen, Adressen, AHV-Nummern, IBAN, Diagnosen und dutzende weitere Kategorien. Die erkannten Daten werden anonymisiert, bevor sie an einen Cloud-KI-Dienst gesendet werden. Das Ergebnis: Sie nutzen die volle Leistung von ChatGPT & Co. — ohne Datenschutzrisiko.
Was Incognify erkennt
- Namen, Adressen, Telefonnummern
- AHV-/Sozialversicherungsnummern
- IBAN, Kreditkartennummern
- E-Mail-Adressen, Geburtsdaten
- Diagnosen, Medikationen
- Branchenspezifische Identifier
Warum das DSG-/DSGVO-konform ist
- Keine personenbezogenen Daten verlassen Ihre Infrastruktur
- Jeder Anonymisierungsschritt wird dokumentiert
- Nachweisbare Compliance für EDÖB, DSB und Landesdatenschutzbehörden
- Erfüllt Art. 7 DSG / Art. 25 DSGVO (Privacy by Design)
Fazit: Datenschutz ist kein Aprilscherz
Cloud-KI nutzen, ohne Datenschutzrisiko? Das ist kein Traum — das ist Incognify. Ob Bussgelder nach Art. 83 DSGVO in Deutschland und Österreich oder persönliche Strafbarkeit nach Art. 60–66 DSG in der Schweiz — Incognify schützt vor beidem, indem persönliche Daten automatisch erkannt und anonymisiert werden, bevor sie Ihre Infrastruktur verlassen.
Schützen Sie sich, Ihre Mitarbeitenden und Ihr Unternehmen — mit automatischer Anonymisierung für jeden Cloud-KI-Workflow.